AVideo में अपरिभाषित स्ट्रीम कुंजी के माध्यम से Live_schedule::keyExists() में एसक्यूएल इंजेक्शन (SQL Injection) है

AVideo, एक ओपन-सोर्स वीडियो प्लेटफॉर्म में CVE-2026-34374 भेद्यता Liveschedule::keyExists() विधि में मौजूद है। 26.0 और उससे पहले के संस्करण प्रभावित हैं। समस्या यह है कि SQL क्वेरी को उचित रूप से पैरामीटर किए बिना बनाया गया है। विशेष रूप से, एक स्ट्रीम कुंजी सीधे क्वेरी स्ट्रिंग में डाली जाती है, जिससे SQL इंजेक्शन की अनुमति मिलती है। हालांकि कॉलिंग फ़ंक्शन, LiveTransmition::keyExists(), अपने स्वयं के लुकअप के लिए पैरामीटरयुक्त क्वेरी का सही ढंग से उपयोग करता है, Liveschedule::keyExists() के लिए बैकअप पथ ऐसा नहीं करता है। एक हमलावर इस भेद्यता का उपयोग अंतर्निहित डेटाबेस पर मनमाना SQL कोड निष्पादित करने के लिए कर सकता है, जिससे डेटा अखंडता और गोपनीयता से समझौता हो सकता है। CVSS स्कोर को 9.1 पर रेट किया गया है, जो एक गंभीर जोखिम दर्शाता है। उपलब्ध फिक्स की कमी से स्थिति और खराब हो जाती है, जिसके लिए तत्काल ध्यान देने की आवश्यकता होती है।

Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.

• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries. • generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt. • database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.

1. 2026-03-27Disclosure

   disclosure

1. आरक्षित2026-03-27
2. प्रकाशित2026-03-27
3. EPSS अद्यतन2026-04-04

चूंकि AVideo टीम कोई आधिकारिक फिक्स प्रदान नहीं करती है, तत्काल शमन उपाय 26.0 से पहले के AVideo संस्करणों का उपयोग करने से बचना है। यदि अपग्रेड संभव नहीं है, तो डेटाबेस वातावरण में अतिरिक्त सुरक्षा उपायों को लागू करने की दृढ़ता से अनुशंसा की जाती है। इसमें AVideo एप्लिकेशन के लिए डेटाबेस एक्सेस विशेषाधिकारों को प्रतिबंधित करना, नेटवर्क ट्रैफ़िक को सीमित करने के लिए डेटाबेस फ़ायरवॉल को लागू करना और संदिग्ध पैटर्न के लिए डेटाबेस गतिविधि की निगरानी करना शामिल हो सकता है। इसके अतिरिक्त, Live_schedule::keyExists() के स्रोत कोड की समीक्षा की जानी चाहिए और SQL क्वेरी में उचित पैरामीटरकरण लागू किया जाना चाहिए। AVideo का उपयोग करने वाले उपयोगकर्ताओं को फिक्स का अनुरोध करने और किसी भी सुरक्षा अपडेट के बारे में सूचित रहने के लिए विकास टीम से संपर्क करने की सलाह दी जाती है।